當(dāng)推出安全產(chǎn)品時(shí)，您認(rèn)為它會實(shí)現(xiàn)其目的。然而不幸的是，事實(shí)往往并非如此。奧斯特曼研究公司 (Osterman Research) 受 Silverfort 委托制作的一份新報(bào)告顯示，MFA（多重身份驗(yàn)證）和 PAM（特權(quán)訪問管理）解決方案幾乎從未得到足夠全面的部署，無法提供針對身份威脅的彈性。此外，服務(wù)賬戶（通常超出這些控制的保護(hù)范圍）也容易遭受惡意破壞。這些發(fā)現(xiàn)和更多內(nèi)容可以在“身份攻擊面的狀態(tài)：對關(guān)鍵保護(hù)差距的洞察”中找到，這是第一份分析組織對身份威脅的彈性的報(bào)告。

什么是“身份攻擊面”？#

身份攻擊面是可以通過用戶名和密碼訪問的任何組織資源。攻擊者針對此攻擊面的主要方式是使用受損的用戶憑據(jù)。這樣，身份攻擊面就與其他攻擊面有很大不同。例如，當(dāng)針對端點(diǎn)時(shí)，攻擊者必須開發(fā)創(chuàng)新的惡意軟件和零日漏洞。但在身份領(lǐng)域，默認(rèn)的攻擊工具是合法的用戶名和密碼。暗網(wǎng)上估計(jì)有 24B 個(gè)用戶名-密碼組合，這意味著攻擊者唯一需要做的工作就是獲得初始訪問權(quán)限。

有 MFA 和 PAM 來防止攻擊#

但你呢？該報(bào)告總結(jié)了全球 600 名身份安全專業(yè)人士的調(diào)查結(jié)果，報(bào)告顯示，絕大多數(shù)組織都已部署 MFA 和 PAM 解決方案，但仍然容易受到攻擊。原因如下：

不到 7% 的組織為其大部分關(guān)鍵資源提供 MFA 保護(hù)#

調(diào)查提出的問題之一是：目前能夠通過 MFA 保護(hù)以下資源和訪問方法的比例是多少？

• 桌面登錄（例如Windows、Mac）
• VPN等遠(yuǎn)程連接方式
• 遠(yuǎn)程開發(fā)計(jì)劃
• 命令行遠(yuǎn)程訪問（例如PowerShell、PsExec）
• SSH
• 本土和遺留應(yīng)用程序
• IT基礎(chǔ)設(shè)施（例如管理控制臺）
• VDI
• 虛擬化平臺和管理程序（例如VMware、Citrix）
• 共享網(wǎng)絡(luò)驅(qū)動器
• 操作技術(shù)系統(tǒng)

該圖總結(jié)了結(jié)果：

這些數(shù)字意味著一個(gè)關(guān)鍵差距，因?yàn)闆]有 MFA 的資源是對手可以使用受損憑證無縫訪問的資源。將其轉(zhuǎn)化為現(xiàn)實(shí)場景時(shí)，使用不受 MFA 保護(hù)的命令行工具（例如 PsExec 或 Remote PowerShell）的威脅行為者在跨網(wǎng)絡(luò)移動以在多臺計(jì)算機(jī)上植入勒索軟件負(fù)載時(shí)不會遇到任何障礙。

只有 10.2% 的組織擁有完全啟用的 PAM 解決方案#

PAM 解決方案因部署時(shí)間長、復(fù)雜而臭名昭著，但它到底有多糟糕呢？報(bào)告揭示了答案：這很糟糕。以下是受訪者對“您的 PAM 實(shí)施之旅處于哪個(gè)階段？”這一問題的回答匯總。

正如所看到的，大多數(shù)組織在 PAM 旅程中都陷入了困境，意味著至少有一些特權(quán)用戶面臨攻擊。請記住，管理員用戶是攻擊者獲取您皇冠上的寶石的最快途徑。未能保護(hù)所有這些是任何組織都無法忽視的風(fēng)險(xiǎn)。

78% 的組織無法防止服務(wù)賬戶受損的惡意訪問#

服務(wù)賬戶是眾所周知的盲點(diǎn)。由于這些非人類賬戶通常享有很高的特權(quán)，但無法受到 MFA 的保護(hù)，而且它們通常沒有記錄，因此不受監(jiān)控，因此它們是對手的主要目標(biāo)。

以下是問題“您對防止攻擊者在您的環(huán)境中使用服務(wù)賬戶進(jìn)行惡意訪問的能力有多大信心？”的答案。

請注意，這里的術(shù)語“中”有點(diǎn)誤導(dǎo)，因?yàn)槿狈?shí)時(shí)預(yù)防本質(zhì)上使能夠檢測帳戶泄露的安全價(jià)值失效。

對環(huán)境的身份攻擊面的保護(hù)情況如何？使用成熟度模型#

該報(bào)告不僅指出了弱點(diǎn)和差距，還提供了一個(gè)有用的評分模型，該模型基于所有身份保護(hù)方面的匯總結(jié)果，可以揭示對身份威脅的抵御能力水平。

報(bào)告發(fā)現(xiàn)，很少有組織（低至 6.6%）制定了嚴(yán)格且實(shí)施的身份保護(hù)策略。但使用此模型可以回答相同的問題，并了解組織的情況，以及需要采取哪些行動。